يبدو أن الأشخاص المسؤولين عن توزيع برنامج الفدية (Locky) والذي هو واحد من برامج الفدية المسيطرة للسنة الحالية بدأوا حملة جديدة مع بعض الاختلافات الملموسة التي أدخلت على تكتيك ابتزازهم. الوريث الجديد والذي يطلق عليه اسم فدية Bart هو سهل التحرك وخطير ويعمل بالتزامن مع التكرار الجديد ل (Locky) الأصلي. يقوم Bart بإضافة ملفات الضحايا القيمة إلى سجلات ملفات مشفرة والتي لا يمكن فتحها ما لم يقوم المستخدم بوضع كلمة السر الصحيحة لفتح التشفير. بدورها تقوم النسخة المجددة من برنامج طروادة سيء السمعة بإلحاق إمتداد .zepto إلى الكائنات المجمعة. يصيب هذا البديل من (Locky) أجهزة الكمبيوتر ويندوز عن طريق رسائل البريد الإلكتروني المزعجة مع مُحمل ضار. هذا المُحمل ملف جافا سكريبت غامض. و تشارك شبكة الروبوتات في حملة التوزيع السابقة التي تعطلت منذ عدة أشهر، ولكن العدوى مؤخرا أعادة الظهور مع شبكة نشر جديدة .
إن سير عمل الفيروس مشابه تماماً لما سبق. يستلم المستخدم الغافل عن الخطر بريد الكتروني جذاب والذي يشجعه على فتح المرفق الضار. والتنقيذ لبرنامج الفدية ماكر بما فيه الكفاية بالنسبة للضحية لكي يلاحظها.
يقوم البرنامج المتسبب بالمشكلة بصمت بالبحث عن الملفات الشخصية على محركات الأقراص المحلية للجهاز و الأقراص القابلة للإزالة ومسارات الشبكة المعنية. وعندما تصبح القائمة جاهزة يستخدم حصان طروادة شيفرة معيار التشفير المُطَور 128 لتشفير كل ملف ثم يطبق ترميز 2048 غير متماثل لتشفير مفتاح فك التشفير السري.
بعد أن يقوم بمناورات التشفير المعقد يجعل أسماء الملفات متعذرة الفهم وبوضع إمتداد .zepto وسلسة غير منظمة من الرموز لكل واحد منها. وكنتيجة لذلك يحصل أي ملف عشوائي على اسم مشابه ل D7F6EA-D9FC08E-0BC-82EE36C5D.zepto.
ويقوم أيضاً بتغير صورة سطح المكتب إلى _HELP_instructions.bmp ويقوم بإنشاء ملف جديد باسم _HELP_instructions.html داخل كل مجلد مشفر وعلى سطح المكتب أيضاً. وتلك هي تعليمات الفدية التي تحتوي الهوية الشخصية للضحية وعدة روابط تسيير بصلي لإستلام المفتاح الخاص و رسالة التحذير الآتية “قد تم تشفير كل ملفاتك بشيفرة معيار التشفير المُطَور 128 و شيفرة ترميز 2048”. يذهب الجناة إلى القول ‘فك تشفير الملفات الخاصة بك ممكن مع المفتاح الخاص فقط و برنامج فك التشفير ، والتي موجودة على خادمنا السري.
عندما تتبع الضحية واحد من بوابات التسيير البصلي المدرجة في ملف _HELP_instructions.html (.bmp يصلون إلى صفحة Locky Decryptor في نهاية المطاف. قد صممت الصفحة لتقديم الدفع لعنوان بيتكوين فريد و تحميل برنامج فك التشفير.
وتطلب الجهة الفاعلة للتهديد فدية بقيمة 0.5 بيتكوين أو ما يعادل 300دولار. وإذا وقعت شركة كبيرة ضحية لبرنامج الفدية ستلتزم الإستعادة مبلغ أكبر على الأرجح.
إن عودة برنامج الفدية Locky هو بكل تأكيد أخبار سيئة لصناعة الأمن والمستخدميين النهائيين في جميع أنحاء العالم. العصابة التي تقف وراء ذلك أثبتت بأنها طموحة كفاية لتجرب وتغيير الوضع الراهن على ساحة الإبتزاز لذلك إن سطح الهجوم من المحتمل سيكون ضخم. في حين أنه لا يوجد حل قابل للتطبيق الذي يمكنه استعادة البيانات المقفلة في هذه المرحلة، يمكن لبعض تقنيات الاسترداد بأن تساعد.
إزالة برنامج الفدية .zepto بأداة التنظيف التلقائي
يمكن أن يتم إجتثاث برنامج الفدية بكفاءة بواسطة برنامج حماية موثوق به. ويضمن التمسك بتقنية التنظيف التلقائي أن كافة المكونات المتضررة مسحت بشكل شامل من النظام الخاص بك.
١ تحميل أداة المساعدة الأمنية الموصى بها والحصول على فحص جهاز الكمبيوتر الخاص بك من الكائنات الضارة عن طريق تحديد خيار بدء تشغيل فحص الكمبيوتر.
٢ عملية المسح ستقوم بطرح قائمة من الملفات الضارة و من خلال الضغط على خيار إصلاح التهديدات لتقوم بإزالة التهديدات و الملفات الضارة فإن جهاز الكمبيوتر إكمالا لتلك المرحلة سيواجه المشكلة الأكبر الا وهي كيفية استرجاع البيانات.
أساليب إستعادة الملفات المشفرة باستخدام .zepto
الحل ١: استخدام برامج لإسترجاع البيانات ومن الضروري معرفة ان برنامج .zepto يقوم بعمل نسخ للملفات كما يقوم بتشفير تلك الملفات . وفي حال تم حذف تلك الملفات فإنه يوجد تطبيقات لإستعادة تلك الملفات . بالإضافة الى أن آخر تحديث للبرنامج يراعي تطبيق شطب آمن مع محاولات إعادة كتابتها وبذلك فإنها طريقة تستحق التجربة.
الحل ٢: استخدام عملية النسخ الاحتياطي
في البداية وقبل كل شيء ان كنت قد قمت بإجراء نسخ احتياطي فانه من المتوجب الإستفادة من ذلك النسخ الذي قد أجريته.
الحل ٣: استخدام النسخ الظليلي لوحدة التخزين
في حال عدم معرفتك بأن النظام يقوم بإنشاء نسخ ظليلية لوحدة التخزين لكل ملفاتك أو كنت لا تدري بأن خيار إستعادة النظام مفعل على جهاز حاسوبك .
كما أنه يتم إنشاء نقاط إستعادة للملفات تظهر في نفس الوقت التي تنشأ به . للعلم فان هذه الطريقة من غير المؤكد انها تقوم بإستعادة اخر نسخة للنظام الموجود فيه المللفات .. لكنها أيضا طريقة تستحق التجربة .و تجري العمليه بنوعين يدوياً أُتوماتيكياً.لنلقي نظرة على القسم اليدوي أولاً وهو .
• استخدام ميزة الإصدارات السابقة
نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .
• تطبيق أداة الظل اكسبلورر
هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه
التحقق من أن الفيروس .zepto قد أزيل تماماً
مرة أخرى، إزالة برنامج الفدية Locky وحدها لا تؤدي إلى فك التشفير للملفات الشخصية الخاصة بك. طرق إستعادة البيانات المشار إليها أعلاه قد أو قد لا تفي بالغرض ، ولكن برنامج الفدية نفسه لا ينتمي إلى داخل جهاز الكمبيوتر الخاص بك. وبالمناسبة، فإنه غالباً ما يأتي مع غيره من البرامج الضارة، ذلك هو السبب فإنه من المنطقي فحص النظام بواسطة برنامج الأمان التلقائي مرارا وتكرارا من أجل التأكد من عدم وجود مخلفات ضارة لهذا الفيروس والتهديدات المرتبطة التي تركت داخل “سجل ويندوز” ومواقع أخرى.
التعليق هنا